Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer e-ISSN: 2548-964X

Vol. 4, No. 6, Juni 2020, hlm. 1802-1808 http://j-ptiik.ub.ac.id

Penerapan Manajemen Risiko Teknologi Informasi menggunakan Metode

OCTAVE-S pada UPT Pusat Komputer Politeknik Negeri Malang
Ahmad Nur Kurniawan1, Buce Trias Hanggara2, Suprapto3

Program Studi Sistem Informasi, Fakultas Ilmu Komputer, Universitas Brawijaya

Email: 1ahmadnurkurniawan@gmail.com, 2buce_trias@ub.ac.id, 3spttif@ub.ac.id

Abstrak
Politeknik Negeri Malang merupakan perguruan tinggi negeri yang memiliki komitmen terhadap
implementasi dan pengembangan teknologi informasi. Komitmen tersebut diwujudkan dengan adanya
UPT Pusat Komputer (Puskom) sebagai unit yang bertanggungjawab dalam bidang teknologi. Selama
ini pihak UPT Puskom telah menerapkan ISO 9001:2008 sebagai standar manajemen mutu layanan.
Puskom membutuhkan pengukuran risiko untuk memenuhi aspek keamanan dimana dalam ISO
9001:2008 memang sudah terdapat satu aspek manajemen risiko tentang pencegahan. Namun aspek
manajemen risiko tersebut hanya sebuah kegiatan perbaikan ketika terdapat ketidaksesuaian. Dengan
adanya manajemen risiko teknologi informasi ini diharapkan dapat memperkuat aspek manajemen risiko
tersebut. Sehingga organisasi dapat mengelola risiko dan meminimalisir kerugian yang terjadi.
Berdasarkan permasalahan yang ada maka perlu dilakukan manajemen risiko menggunakan metode
OCTAVE-S. Metode tersebut memanfaatkan pengetahuan dari staf UPT Puskom terhadap praktik dan
proses keamanan organisasi, serta menilai bagaimana kondisi keamanan yang ada pada UPT Puskom
saat ini. Dalam menerapkan metode OCTAVE-S, diperlukan proses interview untuk menggali informasi
mengenai kondisi Puskom saat ini, mengetahui aset penting, serta infrastruktur yang berkaitan dengan
aset penting. Sementara itu, kuesioner dilakukan untuk mengevaluasi praktik keamanan yang sudah
diterapkan Puskom saat ini. Dan observasi dilakukan untuk menggali lebih dalam informasi yang telah
didapat untuk memperkuat informasi tersebut. Hasil dari penelitian ini diketahui bahwa Puskom
memiliki 2 aset penting, yakni sistem informasi akademik dan sistem informasi puskom. Selain itu,
terdapat 5 area dari 15 area praktik keamanan pada UPT Puskom yang belum memenuhi standar
OCTAVE-S. Dari kelima area tersebut 2 area praktik keamanan memiliki status stoplight berwarna
kuning, serta 3 area praktik keamanan yang memiliki status stoplight berwarna merah. Area praktik
keamanan yang belum memenuhi standar OCTAVE-S kemudian dilakukan mitigasi. Adapun pada area
peraturan & kebijakan keamanan terdapat 4 poin mitigasi, area kontrol akses fisik terdapat 4 poin
mitigasi, area manajemen kerentanan terdapat 3 poin mitigasi, area perancangan & arsitektur keamanan
terdapat 1 poin mitigasi, area manajemen insiden terdapat 3 poin mitigasi.
Kata kunci: Manajemen Risiko, Teknologi Informasi, OCTAVE-S
Abstract
Malang State Polytechnic is a state university that is committed to the implementation and development
of information technology. This commitment is realized with the existence of the Computer Center UPT
(Puskom) as a unit responsible for technology. So far, the UPT Puskom has implemented ISO 9001:
2008 as a supplier service management standard. Regarding security responsibilities for the
requirements of ISO 9001: 2008. However, this aspect of risk management is only a remedial program
related to nonconformities. With the existence of risk management, this information is expected to
strengthen the risk management aspects. Can reduce the risk that occurs. Based on the existing
problems, it is necessary to do risk management using the OCTAVE-S method. This method uses the
knowledge of UPT Puskom staff on the organization's security practices and processes, as well as
evaluating the current security at the UPT Puskom. In applying the OCTAVE-S method, an interview
process is needed to request information about the current Puskom requirements, find out important
assets, as well as infrastructure related to important assets. Meanwhile, the questionnaire was carried
out to implement the security practices that have been applied by the Center at present. And observations
made to obtain more information that has been obtained to strengthen the information. The results of

Fakultas Ilmu Komputer

Universitas Brawijaya 1802
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 1803

this study prove that Puskom has 2 important assets, namely academic information systems and Puskom
information systems. In addition, there are 5 areas out of 15 security practice areas at the UPT Puskom
that do not meet OCTAVE-S standards. From this area, 2 security practice areas have yellow traffic
light status, and 3 security practice areas have red traffic light status. Areas of security practice that do
not meet OCTAVE-S standards are then mitigated. Based on the law, there are 4 mitigation points, the
access control area is 4 mitigation points, the management area considers 3 mitigation points, the
design & security architecture area is provided 1 mitigation point, the management area reports 3
mitigation points.
Keywords: Risk Management, Information Technology, OCTAVE-S

risiko. Selain itu pihak UPT Puskom juga belum

1. PENDAHULUAN
Penerapan teknologi informasi memberikan
manfaat yang besar dalam segala bidang,
termasuk bidang pendidikan. Keberadaan
teknologi informasi di bidang pendidikan
memberikan kemudahan bagi civitas akademik
dalam melaksanakan proses belajar mengajar
maupun proses-proses lain yang sifatnya
administratif yang mendukung terselenggaranya
proses akademik. Pentingnya keberadaan
teknologi informasi disadari oleh Politeknik
Negeri Malang (Polinema) sebagai kampus yang
memiliki komitmen terhadap implementasi dan
pengembangan teknologi informasi. Komitmen
tersebut diwujudkan dalam suatu Unit Pelaksana
Teknis Pusat Komputer (UPT Puskom). Dengan
adanya UPT Puskom memberikan manfaat bagi
civitas kampus, seperti tersedianya komputer
yang terhubung dalam satu jaringan yang sama,
akses internet 24 jam, serta pengembangan
berbagai aplikasi sistem informasi.
Risiko diartikan sebagai suatu kejadian
yang memiliki imbas negatif dan sulit diterima.
Kemunculan risiko tersebut dapat memberikan
dampak yang buruk dan merugikan bagi
perusahaan. Maka dari itu, seorang manajer
perlu melakukan identifikasi dan mengelola
risiko agar dapat dilakukan upaya pencegahan
sehingga risiko tersebut tidak sampai merugikan
pihak perusahaan (Wissem, 2013). Manajemen
risiko dapat mengelola ketidakpastian ancaman
yang muncul dalam perusahaan. Strategi yang
digunakan dalam manajemen risiko dapat berupa
memindahkan risiko kepada pihak lain,
menghindari risiko, mengurangi dampak risiko,
maupun mengakomodasi risiko tersebut (Suroso
& Fakhrozi, 2018).
Selama ini pihak UPT Puskom telah
menerapkan ISO 9001:2008 sebagai standar
manajemen mutu layanan. Namun mereka
belum pernah melakukan pengukuran terhadap
ancaman risiko maupun melakukan manajemen
memiliki pedoman atau standar untuk mengelola
risiko. Pengukuran terhadap ancaman risiko
memiliki peranan penting di dalam organisasi
untuk mengetahui besarnya ancaman risiko pada
organisasi tersebut. Sehingga organisasi dapat
mengelola risiko dan meminimalisir kerugian
yang terjadi. Oleh sebab itu, sebagai unit yang
bertanggungjawab terhadap teknologi informasi
di Politeknik Negeri Malang, maka UPT Puskom
perlu melakukan manajemen risiko.
Metode OCTAVE-S (Operationally
Critical Threat, Asset, and Vulnerability
Evaluation - Small) merupakan suatu metode
yang digunakan untuk mengenali risiko yang
dapat memberikan ancaman sehingga merugikan
organisasi. Metode OCTAVE-S disusun dalam
satu set standar untuk menilai bagaimana kondisi
keamanan informasi pada organisasi saat ini
(Putra, Winarno, & Huizen, 2015). Metode
OCTAVE-S dianggap peneliti sebagai metode
yang paling cocok untuk diterapkan di UPT
Puskom dengan memperhatikan beberapa aspek,
seperti metode ini berfokus pada organisasi kecil
dengan jumlah karyawan tidak lebih dari 20
orang, hirarki struktur organisasi tidak terlalu
diperhatikan, serta organisasi memiliki
infrastruktur teknologi informasi.
Pada penelitian terdahulu yang dilakukan
oleh Pratama dkk, 2018 pada Inspektorat
Kabupaten OKU Timur menghasilkan 6 area
dari 15 area praktik keamanan yang belum sesuai
standar OCTAVE-S, yaitu kesadaran keamanan
dan pelatihan, manajemen keamanan, kebijakan
keamanan dan peraturan, pemantauan dan audit
keamanan TI, pengesahan otorisasi dan
manajemen kerentanan. Maka keenam area
tersebut perlu dilakukan upaya mitigasi sesuai
panduan dari metode OCTAVE-S
Berdasarkan penjelasan tersebut, maka
perlu dilakukan manajemen risiko pada UPT
Puskom. Dengan adanya penelitian ini
diharapkan dapat dijadikan saran maupun usulan

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
yang bermanfaat bagi UPT Puskom untuk
mengidentifikasi kemungkinan munculnya
ancaman risiko.
2. LANDASAN KEPUSTAKAAN
2.1 Teknologi Informasi
Teknologi informasi merupakan perangkat
lunak (software) dan perangkat keras (hardware)
yang memberikan dukungan manajemen,
operasi, dan strategi dalam organisasi. Teknologi
informasi dapat dianggap sebagai aspek yang
mencakup proses informasi, informasi dan
komunikasi, serta infrastruktur terkait yang
digunakan untuk mengirimkan informasi agar
meningkatkan efektivitas individu maupun
organisasi (Onn & Sorooshian, 2013).
Sementara itu Aferdita Berisha-Shaqiri
dalam jurnalnya menyatakan bahwa teknologi
informasi adalah suatu alat strategis bagi
perusahaan untuk meningkatkan keunggulan
kompetitif ketika dalam kondisi ketidakpastiaan
(Shaqiri, 2015). Dari penjelasan tersebut dapat
disimpulkan bahwa teknologi informasi adalah
suatu perangkat lunak maupun keras yang
bermanfaat bagi perusahaan untuk mendukung
operasional perusahaan demi tercapainya tujuan
perusahaan tersebut.
2.2 Manajemen Risiko Teknologi Informasi
Manajemen risiko teknologi informasi
merupakan cara yang dilakukan oleh suatu
organisasi atau perusahaan dalam menekan
sekecil mungkin risiko-risiko TI yang dapat
mengganggu proses bisnis perusahaan
(Kurniawan, 2013). Setiap perusahaan perlu
melakukan manajemen risiko TI untuk
mengukur, mengidentifikasi, dan memantau
risiko dari setiap aktivitas bisnis secara berkala.
Selain itu, manajemen risiko TI memiliki fungsi
sebagai upaya untuk mengamankan informasi
dan aset penting perusahaan dari ancaman yang
bisa merugikan perusahaan terkait.
Setiap perusahaan perlu melakukan
manajemen risiko TI untuk mengukur,
mengidentifikasi, dan memantau risiko dari
setiap aktivitas bisnis secara berkala. Selain itu,
manajemen risiko TI memiliki fungsi sebagai
upaya untuk mengamankan informasi dan aset
penting perusahaan dari ancaman yang bisa
merugikan perusahaan terkait.
Penerapan manajemen risiko TI pada
perusahaan yang benar adalah dengan
mempertimbangkan proses bisnis yang berjalan,
serta memenuhi beberapa elemen penting.
Fakultas Ilmu Komputer, Universitas Brawijaya
1804
Elemen tersebut diantaranya adalah rencana dan
kebijakan, tugas dan tanggung jawab, prosedur
dan pendekatan, persona dan performa, serta
penerapan dan pengembangan (Jordan &
Silcock, 2005). Adapun penjelasan dari masing-
masing elemen tersebut adalah sebagai berikut:
a. Rencana dan Kebijakan
Untuk mencapai tujuan dari penerapan
manajemen risiko TI, maka diperlukan
suatu perencanaan dan kebijakan.
Perencanaan digunakan sebagai upaya
untuk membuat prioritas risiko, sedangkan
kebijakan membantu untuk membuat
peraturan yang digunakan sebagai dasar
mengelola risiko.
b. Tugas dan Tanggung Jawab
Setiap orang yang terlibat dalam
manajemen risiko TI perusahaan mendapat
tugas dan tanggungjawabnya masing-
masing. Pembagian tugas dan tanggung
jawab ini akan mempermudah dalam
menerapkan manajemen risiko TI.
Pemilihan tugas yang sesuai dengan posisi
orang yang bersangkutan juga akan
mempengaruhi keberhasilan penerapan
manajemen risiko TI.
c. Prosedur dan Pendekatan
Pada manajemen risiko TI terdapat
sejumlah fase yang harus dilalui untuk
mencapai tujuan. Fase tersebut antara lain
adalah identifikasi, penilaian, perawatan,
serta pemantauan.
d. Persona dan performa
Pengetahuan dan kemampuan yang dimiliki
setiap persona atau orang dalam
menjalankan manajemen risiko TI sangat
berpengaruh dalam mengelola risiko. Maka
dari itu perlu dilakukan pelatihan sesuai
dengan tanggung jawab dari masing-
masing persona.
e. Penerapan dan pengembangan
Fase terakhir adalah dengan
mengimplementasikan manajemen risiko
TI tersebut pada perusahaan. Kemudian
dilakukan upaya untuk mengembangkan
dari apa yang sudah dilakukan saat ini.
2.3 OCTAVE-S
OCTAVE-S merupakan pengembangan
dari metode OCTAVE yang dikhususkan untuk
memenuhi kebutuhan organisasi kecil, sedikit
berbeda dibanding metode OCTAVE yang lebih
mengarah kepada organisasi besar. Hal ini untuk
menyesuaikan dengan sarana yang lebih terbatas
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 1805

pada organisasi kecil. Meski begitu OCTAVE-S agar mendpatkan hasil yang maksimal
tetap menghasilkan output yang sama baiknya (Mikewati, 2011).
dengan OCTAVE, termasuk strategi
perlindungan di seluruh organisasi. Agar 3. METODOLOGI
penggunaan metode OCTAVE-S berjalan secara
maksimal maka peneliti harus memahami proses
bisnis maupun tujuan dari organisasi tersebut
(Alberts, Dorofee, Stevens, & Woody, 2005).

Gambar 1. Proses OCTAVE-S

(Sumber: Alberts C., dkk, 2005)
Gambar 1 menunjukkan bahwa OCTAVE-S
memiliki tiga fase yang terdiri dari membuat
profil ancaman berbasis aset, mengidentifikasi
kerentanan infrastruktur, serta mengembangkan
strategi dan rencana keamanan. Fase-fase
tersebut sama seperti pada metode OCTAVE
hanya saja yang membedakan terdapat pada
proses dan kegiatan yang ada di masing-masing
fase.
Dalam menerapkan metode OCTAVE-S
peneliti perlu memahami aspek-aspek berikut ini
sebelum diterapkan pada organisasi:
a. Tim analisis kecil yang tidak lebih dari 5
anggota dimana setiap anggota harus
memiliki pemahaman mengenai proses
bisnis dan keamanan organisasi (Alberts C.
, Dorofee, Stevens, & Woody, 2005).
b. Metode OCTAVE-S berfokus pada
organisasi kecil sehingga penelitian terbatas
pada infrastruktur atau aset yang dimiliki
organisasi dalam praktik keamanan
(Alberts C. , Dorofee, Stevens, & Woody,
2005).
c. Karena metode ini mengarah pada
organisasi yang tidak terlalu besar, maka
hirarki pada struktur organisasi tidak terlalu
diperhatikan (Rahman, 2016).
d. Organisasi memiliki infrastruktur teknologi
informasi yang tidak terlalu kompleks dan
setidaknya terdapat satu orang pada lingkup
organisasi yang memahami infrastruktur
tersebut (Wijayanti, 2018).
e. Dalam menerapkan OCTAVE-S perlu
pemahaman mendalam terkait organisasi
Fakultas Ilmu Komputer, Universitas Brawijaya
Gambar 2. Alur Penelitian
Gambar 2 merupakan alur penelitian yang
dimulai dari identifikasi permasalahan, studi
literatur, pengumpulan data, pengolahan data,
serta kesimpulan.
3.1 Pengumpulan Data
Proses pengumpulan data dilakukan dengan
tiga cara, yakni wawancara, kuesioner, dan
observasi. Wawancara dilakukan dengan
menggunakan pedoman metode OCTAVE-S
kepada pihak-pihak terkait manajemen risiko di
UPT Pusat Komputer Politeknik Negeri Malang.
Kemudian kuesioner dilakukan untuk
mengetahui praktik keamanan saat ini.
Sementara proses observasi dilakukan untuk
mengamati dan merasakan risiko-risiko yang
muncul pada instansi terkait. Pada tahap ini juga
perlu dilakukan verifikasi data untuk
membuktikan bahwa data yang diperoleh benar-
benar nyata dan dapat dipertanggungjawabkan.
3.2 Pengolahan Data
Pengolahan data dilakukan sesuai dengan
Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 1806

pedoman OCTAVE-S yang terdiri dari 3 fase.

Fase pertama adalah membuat profil ancaman 4.2 Identifikasi Aset Penting
yang terdiri dari 2 proses, yakni mengidentifikasi Berdasarkan hasil wawancara dengan
informasi organisasi, dan membuat profil Kepala UPT Puskom diketahui bahwa UPT
ancaman. Kemudian pada fase kedua adalah Puskom memiliki sejumlah aset penting. Aset
mengidentifikasi kerentanan infrastruktur yang penting tersebut dibagi dalam 2 kategori, yakni
terdiri dari 1 proses, yaitu memeriksa aset informasi, sistem, dan aplikasi, serta aset
infrastruktur yang berkaitan dengan aset penting. manusia. Adapun aset penting yang dimiliki
Selanjutnya pada fase ketiga adalah UPT Puskom adalah sebagai berikut:
memngembangkan strategi dan rencana Tabel 2. Aset Penting UPT Puskom
keamanan yang terdiri dari 2 proses, yaitu No. Kategori Aset Penting
identifikasi dan analisis risiko, serta Aset
Informasi, Sistem Informasi Akademik
mengembangkan strategi perlindungan dan 1.
Sistem, dan Sistem Informasi Puskom
mitigasi. Aplikasi
2. Aset Manusia Kepala Unit
4. HASIL DAN PEMBAHASAN Network Engineer
Server engineer
4.1 Penetapan Kriteria Evaluasi Dampak Senior Programmer
Penetapan kriteria evaluasi dampak Electronic data processing
digunakan untuk menentukan rentang dampak IT helpdesk
yang terjadi pada organisasi. Proses ini
bermanfaat untuk mengetahui informasi Dari tabel 2 tersebut diketahui bahwa UPT
mengenai dampak yang diakibatkan oleh Puskom memiliki 2 aset informasi, sistem, dan
permasalahan umum dan darurat, serta informasi aplikasi, yakni sistem informasi akademik dan
tersebut digunakan sebagai dasar dalam sistem informasi puskom. Kemudian UPT
menentukan rentang dampak (tinggi, sedang, Puskom memiliki 6 aset manusia, yaitu kepala
atau rendah). Adapun kriteria evaluasi dampak unit, network engineer, server engineer, senior
UPT Puskom adalah sebagai berikut: programmer, electronic data processing, dan IT
Tabel 1. Kriteria Evaluasi Dampak helpdesk.
Kriteria
No. Tipe Dampak
Dampak 4.3 Evaluasi Praktik Keamanan
Reputasi & Kepercayaan
1.
Pelanggan
Sedang Evaluasi praktik keamanan dilakukan untuk
2. Keuangan Tinggi mendokumentasikan efektivitas praktik
3. Produktivitas Sedang keamanan yang telah diterapkan organisasi. Dari
4. Keamanan dan Kesehatan Sedang evaluasi tersebut akan diketahui status stoplight
5. Denda Rendah dari setiap area praktik keamanan di UPT
Puskom dimana area yang berwarna kuning dan
Berdasarkan tabel 1 diketahui bahwa tipe merah akan dipilih untuk dilakukan mitigasi.
dampak reputasi & kepercayaan pelanggan Adapun hasil evaluasi praktik keamanan tersebut
memiliki kriteria sedang karena selama 2019 sebagai berikut:
terdapat sekitar 50 keluhan yang diterima UPT Tabel 3. Evaluasi Praktik Keamanan
Puskom. Kemudian dari sisi keuangan memiliki No. Area Praktik Stoplight
kriteria tinggi karena UPT Puskom pernah Kesadaran dan Pelatihan
1. Hijau
Keamanan
mengalami kerugian sekitar Rp 90 juta pada
2. Strategi Keamanan Hijau
tahun 2019. Selanjutnya produktivitas memiliki 3. Manajemen Keamanan Hijau
kriteria sedang karena staf mendapat Peraturan dan Kebijakan
4. Merah
penambahan jam kerja 1-4 jam untuk Keamanan
menyelesaikan keluhan atau melakukan Manajemen Keamanan
5. Hijau
perbaikan. Kemudian pada keamanan & Kolaboratif
Perencanaan Contingency/
kesehatan memiliki kriteria sedang karena staf 6.
Pemulihan Bencana
Hijau
pernah mengalami kecelakaan selama bekerja, 7. Kontrol Akses Fisik Kuning
seperti jatuh dari plafon dan kesetrum. Lalu pada Pemantauan dan Audit
8. Hijau
sisi denda memiliki kriteria rendah karena sejauh Keamanan Fisik
ini UPT Puskom belum pernah melakukan Manajemen Jaringan dan Hijau
9.
Sistem
pelanggaran yang menyimpang dari undang- 10. Pemantauan dan Audit Hijau
undang.

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer 1807

Keamanan TI peraturan dan kebijakan keamanan,

11. Autentikasi dan Otorisasi Hijau pengendalian akses fisik, manajemen
12. Manajemen Kerentanan Merah
kerentanan, perancangan dan arsitektur
13. Enkripsi Hijau
Perancangan dan Arsitektur keamanan, serta manajemen insiden.
14. Kuning Dari kelima area praktik keamanan tersebut
Keamanan
15. Manajemen Insiden Merah selanjutnya dibuat rencana upaya mitigasi sesuai
dengan pedoman OCTAVE-S. Adapun rencana
Berdasarkan tabel 3 diketahui bahwa UPT mitigasi tersebut adalah sebagai berikut:
Puskom memiliki 5 area yang belum memenuhi a. Peraturan dan Kebijakan Keamanan
standar OCTAVE-S. Kelima area praktik • Membuat kebijakan dan regulasi
keamanan tersebut dengan rincian 2 area keamanan yang terdokumentasi.
memiliki status stoplight berwarna kuning yang • Membuat dokumentasi untuk
berarti UPT Puskom sudah menerapkan praktik manajemen kebijakan keamanan.
keamanan namun belum sempurna, serta 3 area • Melakukan sosialisasi kepada
yang memiliki status stoplight berwarna merah seluruh karyawan maupun
yang berarti UPT Puskom belum menerapkan stakeholder bahwa organisasi tunduk
praktik keamanan. Lima area praktik keamanan terhadap kebijakan keamanan
ini yang nantinya akan dilakukan upaya mitigasi informasi, hukum, dan peraturan
agar sesuai dengan standar OCTAVE-S. yang berlaku.
• Melakukan peninjauan terhadap
4.4 Evaluasi Kemungkinan Ancaman kebijakan dan regulasi yang sudah
Evaluasi kemungkinan ancaman dilakukan dibuat.
dengan wawancara kepada UPT Puskom untuk • Melakukan pembaruan terhadap
mengetahui kemungkinan terjadinya suatu kebijakan dan regulasi yang sudah
ancaman pada aset penting yang berasal dari dibuat.
akses jaringan, fisik, maupun permasalahan
sistem. Penetapan tingkat keyakinan di masa b. Kontrol Akses Fisik
depan berdasarkan tingkat munculnya suatu • Membuat dokumentasi mengenai
ancaman bagi organisasi dengan cara melihat aturan untuk keamanan terhadap
kembali ancaman tersebut terjadi pada masa fasilitas, bangunan, maupun tempat-
lampau. Hasil dari evaluasi kemungkinan tempat sensitif yang dimiliki
ancaman dapat diketahui pada tabel 4 berikut ini: Puskom.
Tabel 4. Evaluasi Kemungkinan Ancaman
Motif Tingkat
• Melakukan pengujian secara berkala
Akses. Aktor terhadap aturan yang sudah dibuat
Keyakinan
Tidak mengenai keamanan terhadap
Sedang
Internal Sengaja fasilitas, bangunan, serta area
Sengaja Sedang sensitif.
Jaringan
Tidak
Eksternal Sengaja
Sedang • Membuat kebijakan untuk mengatur
Sengaja Sedang staf maupun pihak luar yang
Tidak mengunjungi aset fisik, seperti area
Rendah
Internal Sengaja server dan lain-lain.
Fisik
Sengaja Rendah • Membuat aturan mengenai kontrol
Tidak
Eksternal Sengaja
Rendah akses fisik ke area kerja dan
Sengaja Rendah hardware.
Masalah Kerusakan
Sedang
• Melakukan sosialisasi kepada
Sistem hardware karyawan tentang pentingnya
menjaga komponen workstation dan
4.5 Rencana Mitigasi komponen lainnya bahwa semuanya
Proses mitigasi dilakukan setelah adalah tanggung jawab bersama.
mengetahui hasil dari evaluasi praktik keamanan
pada UPT Puskom. Dari evaluasi tersebut c. Manajemen Kerentanan
diketahui bahwa terdapat 5 area di UPT Puskom • Membuat prosedur yang
yang belum memenuhi standar OCTAVE-S. didokumentasikan untuk mengelola
Kelima area praktik keamanan tersebut adalah kerentanan.

Fakultas Ilmu Komputer, Universitas Brawijaya

Jurnal Pengembangan Teknologi Informasi dan Ilmu Komputer
• Menerapkan prosedur yang sudah
dibuat mengenai manajemen
kerentanan.
• Melakukan pembaruan terhadap
prosedur manajemen kerentanan
tersebut.
• Melakukan evaluasi setelah
diterapkan manajemen kerentanan
secara berkala.
d. Perancangan dan Arsitektur Keamanan
• Melakukan revisi apabila membuat
desain sistem dan arsitektur yang
baru.
e. Manajemen Insiden
• Membuat prosedur dokumentasi
apabila terjadi dugaan dan
pelanggaran keamanan.
• Melakukan pembaruan terhadap
prosedur manajemen insiden yang
dapat dilakukan secara berkala,
seperti satu tahun sekali.
• Membuat kebijakan dan prosedur
dokumentasi mengenai kerja sama
dengan lembaga penegak hukum.
5. KESIMPULAN
Berdasarkan penelitian yang sudah
dilakukan pada Unit Pelaksana Teknis Pusat
Komputer Politeknik Negeri Malang, maka
dapat disimpulkan bahwa:
1. UPT Puskom memiliki 2 aset penting,
yaitu Sistem Informasi Akademik dan
Sistem Informasi Puskom. Terdapat 5
area dari 15 area praktik keamanan yang
belum memenuhi standar, yaitu
peraturan dan kebijakan keamanan,
pengendalian akses fisik, manajemen
kerentanan, perancangan dan arsitektur
keamanan, serta manajemen insiden.
2. Hasil dari identifikasi risiko pada UPT
Puskom kemudian dilakukan rencana
mitigasi sesuai dengan metode
OCTAVE-S. Adapun dalam area
Peraturan & kebijakan keamanan
terdapat 4 poin mitigasi, area Kontrol
akses fisik terdapat 4 poin, area
Manajemen kerentanan terdapat 2 poin,
area perencanaan & arsitektur keamanan
terdapat 1 poin, serta area manajemen
insiden terdapat 3 poin.
Fakultas Ilmu Komputer, Universitas Brawijaya
1808
6. DAFTAR PUSTAKA
Alberts, C., Dorofee, A., Stevens, J., & Woody,
C. (2005). OCTAVE-S Implementation
Guide, Version 1.0. Pittsburgh: Carneige
Mellon Software Engineering Institute.
Jordan, E., & Silcock, L. (2005). Beating It
Risks. New York: John Wiley & Sons,
Inc.
Kurniawan, N. B. (2013). Manajemen Risiko
Teknologi Informasi Pada Badan Pusat
Statistik. Bandung: Produk Layanan:
Pelayanan Statistik Terpadu.
Onn, C. W., & Sorooshian, S. (2013). Mini
Literature Analysis on Information
Technology Definition. Information and
Knowledge Management, 139-140.
Pratama, R., Syamsuar, D., & Kunang, Y. N.
(2018). Evaluasi Risiko Keamanan
Informasi Menggunakan Octave-S.
Seminar Nasional Teknologi Informasi
Dan Komunikasi (SEMNASTIK) X, 147-
152.
Putra, A. D., Winarno, W. W., & Huizen, R. R.
(2015). Audit Keamanan Sistem
Informasi Kantor BAPPEDA
Kabupaten Sleman. Jurnal Teknologi
Informasi, 1-12.
Shaqiri, A. B. (2015). Impact of Information
Technology and Internet in Businesses.
Academic Journal of Business,
Administration, Law and Social
Sciences, 75-79.
Suroso, J. S., & Fakhrozi, M. (2018).
Assessment of Information System Risk
Management With Octave Allegro At
Education Institution. Procedia
Computer Science, 203-213.
Wissem, E. (2013). Risks Management: New
Literature Review. Polish Journal Of
Management Studies, 288-297.